Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreian47g7mysh3urctrunt24axpnnky5fhwhfgtxrlqev3aubcrwq7q",
    "uri": "at://did:plc:nkxz2ojdvmieg2nhphvputvp/app.bsky.feed.post/3mmoakeiqoqc2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiaqlg6n4nchlxamhv2buiajgospqf5nnyicw5ywljb5a4okycsqnq"
    },
    "mimeType": "image/jpeg",
    "size": 114448
  },
  "description": "BitLocker fragt nach jedem Linux/Windows-Dual-Boot-Wechsel nach dem Recovery Key, weil das TPM die Bootkette-Aenderung erkennt. Fix: TPM als Schluesselschutz raus, Passwort rein. Gruppenrichtlinie, manage-bde, und schon gehoert das Drama der Vergangenheit an.",
  "path": "/2024/12/25/dual-boot-mit-linux-und-windows-bitlocker-fuer-die-systemplatte-auf-passwort-umstellen/",
  "publishedAt": "2026-05-25T10:13:03.000Z",
  "site": "https://www.kernel-error.de",
  "tags": [
    "BitLocker",
    "Encryption",
    "Hardening",
    "InfoSec",
    "Linux",
    "Sysadmin",
    "TPM",
    "Windows11",
    "LUKS kann ein falsches Tastaturlayout bei der Passphrase-Abfrage",
    "Einfach melden."
  ],
  "textContent": "Die Feiertage sind da, und ich hatte tatsächlich etwas Zeit zum Zocken. Gearbeitet wird unter Linux, gezockt unter Windows. Dafür habe ich mein Windows auf einer gesonderten SSD installiert, verschlüsselt mit BitLocker.\n\nDie SSD hat irgendwann aufgegeben, Windows musste neu drauf. Backup spare ich mir, ist eh nur zum Zocken. Windows 11, Treiber, Games, fertig. Aber: BitLocker fragt bei jedem Start nach dem Wiederherstellungsschlüssel, wenn ich vorher in Linux war. Das hatte ich schon mal, am gleichen Rechner. Damals nicht aufgeschrieben. Diesen Fehler mache ich nicht noch mal.\n\n### Das Problem\n\nBitLocker mit TPM merkt, wenn sich die Boot-Kette ändert. Wechselt man über GRUB zwischen Linux und Windows, sieht das TPM eine Änderung und verlangt den Recovery Key. Die Lösung: TPM als Schlüsselschutz entfernen und stattdessen ein Passwort setzen. Dann fragt BitLocker bei jedem Start nach dem Passwort, egal ob vorher Linux oder Windows lief.\n\n### Gruppenrichtlinie anpassen\n\nDamit Windows erlaubt, TPM vom Betriebssystemvolume zu entfernen, muss eine Gruppenrichtlinie geändert werden. **Win + S** , nach _Gruppenrichtlinie bearbeiten_ suchen, dann:\n\n**Computerkonfiguration** → **Administrative Vorlagen** → **BitLocker-Laufwerkverschlüsselung** → **Betriebssystemlaufwerke** → **Zusätzliche Authentifizierung beim Start anfordern**\n\nDen Haken bei _„BitLocker ohne kompatibles TPM zulassen“_ setzen. Danach im Administrator-Terminal die Richtlinie anwenden:\n\n\n    gpupdate /force\n\n### Schlüsselschutz umstellen\n\nZuerst den aktuellen Status prüfen:\n\n\n    manage-bde -protectors -get C:\n\nIn meinem Fall waren drei Schlüsselschutzvorrichtungen konfiguriert: Numerisches Kennwort, TPM und PIN, sowie TPM. Alle müssen weg, damit nur noch das Passwort übrig bleibt.\n\nSchritt für Schritt im Administrator-Terminal:\n\n\n    # 1. Alle Schutzvorrichtungen deaktivieren\n    manage-bde -protectors -disable C:\n    # 2. Vorhandene Schutzvorrichtungen anzeigen (IDs notieren)\n    manage-bde -protectors -get C:\n    # 3. Jede Schutzvorrichtung einzeln löschen (ID aus Schritt 2)\n    manage-bde -protectors -delete C: -id {TPM-UND-PIN-ID}\n    manage-bde -protectors -delete C: -id {TPM-ID}\n    manage-bde -protectors -delete C: -id {NUMERISCHES-KENNWORT-ID}\n    # 4. Prüfen, dass keine mehr da sind\n    manage-bde -protectors -get C:\n    # Erwartete Ausgabe: \"Es wurden keine Schlüsselschutzvorrichtungen gefunden.\"\n    # 5. Passwort als neue Schutzvorrichtung hinzufügen\n    manage-bde -protectors -add C: -password\n    # (Passwort eingeben und bestätigen)\n    # 6. Schutz wieder aktivieren\n    manage-bde -protectors -enable C:\n\n### Ergebnis prüfen\n\n\n    manage-bde -status\n    Volume \"C:\" [System]\n        Verschlüsselt (Prozent):      100,0 %\n        Verschlüsselungsmethode:      XTS-AES 128\n        Schutzstatus:                 Der Schutz ist aktiviert.\n        Schlüsselschutzvorrichtungen:\n            Kennwort\n\nNur noch Kennwort als Schutzvorrichtung. Beim nächsten Start fragt BitLocker nach dem Passwort, unabhängig davon ob vorher Linux oder Windows lief. GRUB stört nicht mehr.\n\nWer auf der Linux-Seite ebenfalls verschlüsselt: Bei LUKS kann ein falsches Tastaturlayout bei der Passphrase-Abfrage für Verwirrung sorgen.\n\nFragen? Einfach melden.",
  "title": "BitLocker im Dual-Boot: Systemplatte auf Passwortschutz umstellen"
}